病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

这是一个通过msn传播的蠕虫病毒，释放两个病毒win32.hack. sdbot.wt和Worm.kelvir.8192。用户电脑会连接到irc服务器，接受黑客控制，下栽病毒程序，窃取用户信息；弱猜测其他计算机密码；随机开放本地端口；堵塞网络。

1，病毒命名为%username%@hotmail.com。释放两个带毒文件：uncanny.exe（Worm.kelvir.8192）和advbot.exe（win32.hack. sdbot.wt）

2，win32.hack. sdbot.wt会产生以下影响：

a,拷贝自身到以下目录:

%system%\\msngms.exe

b,修改注册表，在以下键中增加键值：“Msn Configuration Loader=msngms.exe”

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce

伪装成msn配置程序，在用户开机的时候达到自启动的目的

c，连接到irc服务器，用户计算机会完全被黑客控制，可以下载mydoom蠕虫并执行，造成网络堵塞。

d，窃取用户电脑上的游戏cd号，如FIFA2000，Half-Life等。

e，弱猜测其它计算机密码，如：winxp,password,12345,google等。若成功，则把自身复制到计算机中，窃取用户信息。

f，随机开放本机一个端口，这个端口可以被用来感染计算机

3，Worm.kelvir.8192会产生以下影响：

a，通过msn发送一个链接"http:// xxxx.net/pictures.php?email=xxxx"，当用户点击后，%username%@hotmail.com 会被下载并执行。